Почему всем так нравится нормативка по ИБ или как прошла обновленная Магнитка?

Вчера закончилась легендарная «Магнитка», ИБ-мероприятие которое проходит вот уже 15-й раз. Первые тринадцать проходили под эгидой Банка России и были посвящены теме кибербеза в финансовой отрасли. Но потом что-то пошло не так, организаторы что-то не поделили, и Уральский форум (второе название «Магнитки») переехал в Екатеринбург, а Магнитка осталась на своем месте, месте силы.

И надо сказать, что атмосфера мероприятия не изменилась на на йоту. Кулуары, бани, пельмени, гора, караоке, жаркие споры, обмен мнениями, гитара… Все как и раньше и никакой COVID-19 этому не помешал. Контент обсуждать не буду; скажу только одно — мне он не зашел. А вот про антипленарку, открывающую конференцию, расскажу чуть подробнее — она того стоит. Когда она задумывалась, хотелось обсудить дилемму, перед которой все чаще стоят наши ИБшники, — выполнять нормативку или заниматься результативной ИБ? Но первое после 24-го февраля прошлого года никто не отменил, угроз стало больше, а решений, с помощью которых с ними можно было бороться, меньше.

Назрела необходимость кардинальных перемен в нормативке, так как по-старому уже жить нельзя, а нового у нас пока нет.

Так я считал, когда придумывал концепцию антипленарки, и со мной соглашались многие коллеги, которые в хвост и в гриву ругают регуляторов, неспособных учесть текущий момент и только наращивающих бумажное бремя, тяжким грузом падающее на плечи ИБшников. Но на самой антипленарке все пошло немного не так, как было запланировано. Возможно, присутствие регуляторов не дало раскрыться всем участникам дискуссии, возможно наличие в зале СМИ, но так никто прямо и не сказал все, что он думает о регуляторике 🙁 Даже наоборот. Прозвучало несколько доводов в пользу ИБшной регуляторики:

• Она помогает выбивать бюджет и получать ресурсы.
  

  Но задача ИБ же не в этом состоит; разве нет? Надо недопустимые события делать невозможными, угрозы отражать, инциденты предотвращать. И это не всегда прямо коррелирует с бюджетом.

• Рост регуляторики — это мировой тренд и Россия не может остаться в стороне от него.
  

  И зачем нам ориентироваться на западный и восточный мир? И почему рост нормативки там сигнализирует, что это хорошо?

• Регуляторика помогает наказывать организации, которые допускают инциденты ИБ.
  

  Ну куча примером с утечками ПДн показывает, что наличие нормативки совершенно не помогает. А некоторых (особенно из госухи) вообще не наказывают.

Некоторые участники дискуссии заявили, что им нормативка не помогает, но и не мешает, — они могут ее крутить как угодно в своих целях. И тут тоже вопрос — а зачем ее крутить, если можно вовсе отказаться? Зачем содержать целый штат тех, кто занимается compliance, если эти ресурсы можно потратить на что-то более важное и результативное для ИБ?

Почему-то вообще ни разу не прозвучала мысль, что нормативные акты, а лучше рекомендации, должны создаваться на основе реальных инцидентов, которые эта нормативка должна предотвращать в будущем 🙁

То есть логика должна быть следующей. Произошел инцидент и не один. Регулятор (сам или с экспертами) собрал данные, оценил их, составил рекомендации по предотвращению и выпустил их в оборот. Вот так это должно работать. Если уж обязательные требования и нужны, то в очень ограниченных случаях и только на уровне базовых мер.

180 базовых мер из приказов ФСТЭК и 400 мер из ГОСТа Банка России — это совсем не «база».

Самое интересное, что присутствовавший на пленарке регулятор признал, что у них (да и у других тоже, как выяснилось на Уральском форуме) практически отсутствует процедура и практика отмены ранее принятых НПА. То есть их число только растет. И это приводит к пересечению и конфликту требований, сложности их восприятия. Но не к увеличению уровня защищенности информационных активов. Скорее даже наоборот 🙁

На антипленарке прозвучала мысль, что надо отменять обязательные требования, а взамен жестко наказывать за реализованные инциденты или нарушение базовых правил гигиены. Как, например, это делается с штрафами за нарушение ПДД (нарушили скоростной режим — получили автоматический штраф). Так и тут — непропатчили в течении месяца трендовую уязвимость — регулятор нашел это путем сканирования Рунета и влепил автоматом штраф. Сначала небольшой, потом оборотный. Если не работает регуляторика, то пусть хотя бы наказание рублем дает свой эффект. Половина зала согласилась с таким подходом, вторая (возможно, это были интеграторы и вендоры, для которых регуляторика — это возможность продать больше) — нет.

Истина, как обычно, где-то посередине. Мне видится следующий набор активностей, который мог бы помочь решить проблему с регулированием ИБ:

1. Пересмотр уже принятых требований (вместе с экспертами больших и малых компаний) в поисках дублирующих, противоречивых и явно избыточных требований с последующей их отменой.
2. Уход от обязательных требований в сторону большего числа практических и методических рекомендаций по результатам оперативно проведенных расследований инцидентов.
3. Сдвиг в нормативке с ответа на вопрос «что делать» в сторону «как делать», то есть она должна быть больше про выстраивание процессов, а не про тупое требование чего-то, что понимается и трактуется регуляторами, интеграторами и потребителями по-разному.
4. Усиление правоприменения и отказ от практики ухода от наказания «приближенных» или «своих» (перед законом должны быть все равны).
5. Приоритизация защитных мер/рекомендаций в зависимости от типа/масштаба организации (как это сделано в CIS Controls).

А вообще дискуссия получилась неплохой. И даже если регуляторы не прислушаются, полтора часа пролетели незаметно, как всегда и бывает, когда хорошие и умные люди, как будто на пляже, в окружении пальм, в шортах и шезлонгах, потягивая коктейли, принесенные длинноногими и полуодетыми красотками, обсуждают ИБ 🙂